URGENTE - Me quieren Hackear el PHPBB

Hacerte las siguientes consideraciones :

1 ) Efectivamente casi todos los que andan con esas mamonadas son autenticos lammers que solo se dedican a dar la tabarra por que los piras del foro

2) No es tan facil hackear un foro del tipo de phpbb o similar , tambien depende de la version

3) Podias banear su Ip , pero..y si usa un proxy , los foros usan tambien baneos por niclname , usa todas las posibilidades

4 ) Haz un router de la ip e intentan verificar que no es la de un proxy

5 ) Si tu administracion no es totalmente segura , procura aumentar su seguridad y cambia los paths de acceso a la misma e inserta un sistema , que si quieres te lo doy yo , para permitir que solo una ip determinada acceda a la administracion , es decir sabiendo la tuya el sistema bloqueara cualquier intento de accesado a cualquier ip que no sea la tuya , a toda la administracion

6 ) Restringe el acceso de determnado tipo de navegadores a tu sistema pues los hay que dan demasiada informacion sobre la web o portal , trata de ocultar los enlaces y destino de tus sistema y si usas un index comun que enlaza a los foros pon un enlace muy largo y encripta todo con source guardian o similares , nadie podra ver tu codigo fuente ni analizarlo , y usa redirecciones con header :location para impedir ver el destino final de el lugar de tus archivos en el server , y las carpetas con nombre muy largos


7 ) Recuerda siempre mantener la calma y nunca caigas en el juego de esta panda de mamarrachos , tu tienes el control de tu server en todo momento y tu eres el amo y señor de tus cosas , por muy hacker que te diga que es , recuerda tambien que losforos de por si traen un sistema de acceso simple de password y contraseña , recuerda tambien que estas medidas que te propongo
yo las aplico porque para mi la seguridad es primordial , al mismo tiempo restringe a mayores el acceso de los directorios y archivos con htaccess , puede ocultar los archivos a tu gusto y acceso de forma unitaria , y procura impedir el accesado o indexacion por parte de los buscadores de ciertas carpetas de tus foros , separando el index o partes de tus mismos que no quieres sean indexados

es importante evitar que se obtenga informaciones , los lammers , lameculos se dedican a mirar porque no tiene otra cosa que hacer y a intentar acojonar a la gente , cuando son unos autenticos gilipollas de 15 añitos (No quiere ofender por lo de la edad) , que se creen saberselas todas ,

con todos estos consejos no tendras problemas de ningun tipo , y recuerda que un hacker de verdad primero busca el anonimato y despues el demostrarse dia a dia que es muy bueno , y accede a sistemas pero no para destruir en mas del 90 por ciento de los casos sino para satisfacer su ego y en otros para
cobrar grandes sumas de dinero por espionaje o competencia entre empresas , asi paso con microsof y el famoso codigo fuente de windows entre otros muchos casos

desde aqui tranquilizarte y si necesitas ayuda para blindar tu web como fork nox aqui me tienes , te puedo garantizar que si te la blindo o te ayudo a blindarla no te entrara ni una mosca cojonera en el portal , asi se vuelvan locos , yo insisto mucho en el tema de la seguridad , es vital , para todo y mas cuando son foros o sistemas que dan tanto servicio , como para dejarlos sin cuidar o en manos de desaprensivos que desean hacer de las suyas

a todo esto dinos que foros o tipo son porque no se si lo has dicho yo no lo lei , y se me olvidaba , por mucho que quiera ocultar la ip , hay algo que a lo mejro vosotros no habeis pensado o si y es la direccion mac del equipo o direccion fisica del ordenador que accede a tu foro , esa es una identificacion facil de obtener y que se puede usar para igualmente restringir a mayores todoel acceso , porque identifica la maquina completamente , con todas estas cosas no tendras nunca mas problemas , un saludo y recuerda que cualquier acceso a tu server por parte de un hacker no serviran los proxys , puesto que quedara reflejada su ip real en los losgs del server , no le servira la ocultacion a no ser que sepa usar un programa que yo me se , pero ese es otro tema , no te preocupes , calma y muchos animos , WebMasterFrank

Realmente el sistema no es algo muy complicado , es algo facil y que ademas impedira efectivamente y de forma infalible el acceso de otra persona que no desees al area de la admnistracion

Todos sabemos que nuestra maquina se identifica principalmente por dos tipos de formas o bien por la ip que todos podemos saber la nuestra $REMOTE_ADDR o bien tambien por la direccion mac del equipo , pero no liemos las cosas , dejemos todo con lo que es la ip y recordar que el baneo pro ip a dia de hoy noe s efectivo puesto que quien sabe de seguridad y de proxys , puede hacer lo que desee , yo soy de españa pero con un click puedo estar realmente en la china o en colombia o en polonia y puedo hacerlo realmente , sin que detecten que uso un proxy , por eso no servira mas que en algunos casos , este tipo de baneo

por lo general los foros casi todos y a mi entender es un error , el acceso al ser una aplicacion prefabricada todo el mundo puede saber la posicion y nombre de los archivos importantes , los archivos de configuracion y el destino de los archivos de administracion , es por tanto relativamente facil el estar intentando acceder a el cuadro de un foro , o por fuerza bruta o porque el tipo este dandole todo el dia a probar

por ejemplo en estos foros se ha implementado , en los foros del web , me refiero , se ha implementado un sistema que evita tras un fallo el accesado , pero todo esto sigue sin ser efectivo

esta claro que yo soy un maniatico de la seguridad y hasta he incluido un sistema de contaje de errores y tras el mismo el autobaneo del sistema para ese usuario y aviso por mail , hasta tengo implementado un sistema de intento de acceso hacker para que me avise por celular a mi sistema


todo esto es muy largo de contar y yo gustoso lo contare pero permitidme ir por partes y asi todos os enterareis de la forma adecuada y segura , gracias a lo cual podreis todos dormir mas que tranquilos y seguros ,

al respecto de la ip el sistema consiste en primeramente cambiar el nombre de la carpeta de administracion y el archivo admin ,php , posteriomente accederemos por redireccion a ese archivo nunca directamente , usaremos la redireccion de cabeceras header:location , porque si usas un metatag un lameculos de lammer podria llegar a saber el destino , puesto que sale en el codigo fuente (Aunque pongas el time a cero)

por otro lado el sistema lanzadera o de cabecera enviaria el enlace con tu ip al sistema remoto de acceso que identificaria tu ip como correcta , es decir tu insertarias con anterioridad tu ip , de forma que si tu y solo tu tienes esa ip podrias acceder al sistema de login para tu administracion , lo bueno es que podrias agregar tantas ips como quisieras y solo esas podrian entrar al area de login , el sistema es perfecto puesto que las ip son unicas como las huellas digitales y esto impediria de forma rotunda que nadie pudiese entrarte , cualquer hacker deberia conocer

primeramente la ruta al admin y al archivo de la admin , admin.php , pero estarian cambiados de nombre y aun por encima se accederia a ellos por redireccion a traves de un archivo remoto , de esta forma quien podria

saber que tu administracion esta en la carpeta ipbbforum851158457451 , y que el archivo admin.php al que accedes , tu es admin85452122.php (esto es un ejemplo por supuesto) , por todo ello tendria que ser "uri geler "para adivinar primeramente los nombres y depues añadir a todo

esto el accesado restringido por ip a todos tus administradores o moderadores , el sistema es sencillo y no falla , yo lo he complicado mas , porque a mis foros que no uso precisamente phpbb , uso los que yo he programado , les añadi un sistema que ademas implica los enlaces de la adiministracion , con lo cual se esta comprobando a traves de todas las areas de la administracion que la ip es la autorizada al respecto de una base de datos establecida

El codigo es sencillo y a continuacion expongo las partes del mismo :

a ) Necesitamos Primero cambiar las carpetas de acceso a la admin y del archivo de login ,

b ) Necesitamos preparar un archivo lanzadera que situaremos donde querais incluso en otro hosting , y lo llamareis como deseis , este accedera por header location a la administracion y al area de login

c) En el area de login o de la tipica dentro de la carpeta admin , en el original area de acceso , que cambiamos el nombre y que era admin.php e insertaremos el siguiente codigo :

--------------------------------------------


<?

$ipline = file("ips.txt");
for($i=0;$i<count($ipline);$i++){
if(trim($ipline[$i])==$_SERVER[REMOTE_ADDR])
{

print "<font size=1 face=verdana color=#000000>Ip Autorizada</font>";


}

else { exit ("expulsion.php");}



}


?>

----------------------------------

Esta pequeña funcion se debera insertar lo recuero en la pagina de login siempre ahi , quees la queusamos para acceder a la administracion , recordar que yo he puesto como base de datos para quetodos lo veais , ips.txt , pero obvio es que debeis cambiar el nombre por uno bien jodido de saber , con lo cual no hay perdida y restringir en el htaccess el uso o acceso a el pero ya poniendo un nombre cifrado , ni de coña lo podran saber , ademas lo bueno de esta funcion es que el archivo ips.txt o como le llames podeis ubicarlo donde os salga de las narices

en la carpeta que deseeis , este debe contener las ips que son digamoslo asi , amigas , por tanto tuyas como administrador o de tus amigos o colaboradores , bien ahora viene el sistema de control para insercion de estas ip en la db

---------------------------

<?
if ($action=="ok")
{
$fp=fopen ("ips.txt","a");
fputs ($fp , $ip_adress ."\n");
fclose ($fp);

}
else {}

?>








<form name="form1" method="post" action="<? print "$PHP_SELF?action=ok";?>">
<input type="text" name="ip_adress">
<input type="submit" name="Submit" value="Enviar">
<input type="hidden" name="action" value="ok">
</form>

-------------------------------------------------


Asi ya tendreis todo listo , esta claro que yo uso muchas mas cosas y que son demasidao en esto obsesivo porque tambien meto sistemas de control por tiempo en areas de peligro o que necesitan seguridad o sistemas de baneo integral al portal si hay un acceso hacker , son muchos sistemas lo que cree para evitarme problemas a mi y a mis clientes como tambien sistemas desesones en bases de datos independientes de cookies y session_start , bueno ahi os va y ya medireis que tal os fue y seguiremos si lo deseais hablando de seguridad , uno de mis temas favoritos , WebMasterFrank


------------------------------------
P.D :Por cierto este codigo lo podeis copiar y pegar a cualquier pagina de php es asi de simple pagina a restringir por ip y solo por administradores el acceso le meteis el codigo y solo os preocupais de que el acceso a la db este correcto , podreis restringir todos y cada uno de los archivos de aladministracion para acceso directo y de cualquier tipo no falla , no necesita el envio de variables solo necesita leer la base de datos , nadie os volvera a joder asi se vuelva loco intentandolo y esto es nada a todo lo demas que yo pongo , podeis tener seguridad con tansolo unas cuantas medidas profilacticas , saludos nuevamente
---------------------------------------

En el caso de que tengas una ip dinamica deberas en el momento de acceder a tus foros de desactivar la funcion que supongo tendras al acceder a traves de un proxy , o bien la cambia tu servicio o proveedor de internet cada mes , en estos caso el primero desactivar el proxy mientras navegas por la admin o insertar la ip del proxy que estas usando a finde navegar oculto y por tu admin , en el otro caso , conseguir la ip cada mes , lo cual es facil con la funcion $REMOTE_ADDR o cuaquier pagina te la puede indicar , saludos , WebMasterFrank